Artigo 38 da LGPD


artigo 38 da lgpd

Capítulo VI - Dos Agentes de Tratamento de Dados Pessoais


Seção I - Do Controlador e do Operador


Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Documentos que comprovam estar em conformidade com o Artigo 38


Processo de Avaliação de Impacto de Proteção de Dados


A abrangência da avaliação do impacto da proteção de dados dependerá do tamanho do projeto, da quantidade e do tipo de dados pessoais envolvidos. Para as primeiras avaliações, pode ser necessária a intervenção de um responsável pela proteção de dados (se tiver) e a autoridade fiscalizadora para garantir que você esteja atualizado com as orientações atuais.


Note que os riscos que estão sendo abordados neste processo são aqueles para os direitos e liberdades do sujeito dos dados, não para a organização que está realizando o tratamento (embora em muitos casos eles possam se sobrepor).


Questionários de Avaliação de Impacto da Proteção de Dados


Este formulário deve ser usado para registrar as principais informações sobre uma avaliação de impacto de proteção de dados.


Relatórios de Avaliação de Impacto de Proteção de Dados


A avaliação pode começar com os dados pessoais que a organização possui ou com a identificação direta de cenários de risco, mas de qualquer forma é importante garantir que os dados pessoais e seu valor sejam totalmente compreendidos e documentados antes de iniciar a avaliação.


A ideia é identificar os riscos para os direitos e liberdades dos titulares de dados e prever medidas para diminui-los, quer isso implique em reduzir a probabilidade de ocorrência de um evento de segurança ou reduzir o impacto, caso ocorra. As ações específicas serão definidas em um plano de tratamento de risco.


É adequado vincular a avaliação do risco com o tratamento correspondente, resultando em uma grande planilha. Seja qual for a forma como você decide fazê-lo, você deve mostrar um fluxo claro dos dados pessoais existentes, os riscos e a opção de tratamento ou controle selecionado.


Procedimento de Análise de Dados Pessoais


Há muitas maneiras diferentes de mapear e analisar dados, e esse procedimento descreve apenas um desses métodos. Se a sua organização tiver um método padrão, é perfeitamente aceitável usá-lo.


Entender quais dados pessoais você coleta, retém e trata, e por que, é uma parte fundamental do processo de avaliação de impacto da proteção de dados, que é um requisito da LGPD. Os mesmos dados podem ser usados para muitas finalidades diferentes e é essencial esclarecer não apenas os dados, mas a justificativa legal dos diversos usos desses dados.


Formulários de Análise de Dados Pessoais


Este formulário deve ser usado para registrar as principais informações sobre os dados pessoais coletados e tratados em qualquer atividade da organização. As informações serão usadas como ponto de partida para, posteriormente, ser realizado o mapeamento dos dados de forma mais detalhada.


Diagramas de Análise de Dados Pessoais


Este formulário deve ser usado para definir os dados pessoais que são ou serão coletados, e identificar vários atributos deles, como a base legal do tratamento e se quaisquer questões sobre sua proteção e armazenamento precisam revisadas.


Uma opção desse formulário é a lista de ações que define o que precisa ser feito/investigado para preencher quaisquer lacunas no formulário, por exemplo.: para descobrir onde os dados pessoais estão armazenados na nuvem.


Procedimento de Avaliação da LGPD do Processador


Sua organização pode ter acesso a informações específicas sobre prestadores de serviços, e certamente recomendamos que sejam usadas para obter uma visão mais completa possível da empresa com a qual você está contratando.


Embora este procedimento seja relevante para todos os fornecedores, é particularmente importante para os serviços em nuvem, onde os dados da sua organização podem ser armazenados fora de sua rede interna.


Formulários de Avaliação da LGPD do Processador


Avaliação da organização, avaliação de conformidade de dados pessoais e resultado da avaliação.


Como adquirir esse documento


Todas as nossas ferramentas de implementação estão em um kit. São mais de 100 documentos completamente editáveis, com vídeos explicativos de como eles devem ser preenchidos. Clique aqui para adquirir a nossa implementação. Mas se você preferir, pode conhecer nosso espaço de trabalho e compra-lo por aqui também. Esperamos você.








6 visualizações0 comentário

Posts recentes

Ver tudo